La EBA publica su opinión sobre el fraude en los pagos y las posibles medidas para mitigarlo

09-05-2024 — AR/2024/036

La opinión se basa en el análisis de los datos sobre el fraude en los pagos y propone una lista de medidas que puedan considerarse en las futuras normas sobre pagos o en las actualizaciones de las vigentes.

La Autoridad Bancaria Europea (ABE o EBA, en siglas inglesas) ha emitido, el 29-4-2024, su opinión EBA-Op/2024/01 sobre nuevos tipos de fraudes en los pagos y medidas para mitigarlos.

Entiende la EBA que:

  • la Directiva (UE) 2015/23661 (conocida como PSD 2) supuso un considerable avance en la mitigación del fraude en los servicios de pago, sobre todo al introducir la autenticación reforzada del cliente;
  • no obstante, detecta nuevos patrones de fraude, más complejos, relacionados con la normativa aplicable en cada momento (basados en ingeniería social y centrados en los pagos inmediatos), y
  • puede proponer medidas para reforzar la regulación y contribuir a una lucha más eficaz contra el fraude en los servicios de pago.

Resumimos a continuación los datos analizados y las medidas propuestas.

Análisis del fraude

Reducción del fraude desde la autenticación reforzada

Según la EBA, los datos demuestran que:

  1. desde que se implantó esta autenticación (2020-2021), el fraude en los pagos ha descendido de manera importante:
    • solo se defraudan 8 euros de cada millón en transferencias bancarias y 29 euros de cada millón en pagos con tarjeta;
  2. por el contrario, en operaciones iniciadas por los comercios y por órdenes telefónicas o por correo electrónico, que no tienen autenticación reforzada, los fraudes han sido considerablemente mayores.

Nuevos tipos y modas emergentes de fraude

La EBA expone las siguientes afirmaciones:

  1. El valor de lo defraudado es 10 veces mayor en los pagos inmediatos.
  2. El fraude es mayor en operaciones fuera de la Unión Europea.
  3. El responsable del fraude, es decir, el proveedor de servicios de pago o el usuario de servicios de pago, varía notablemente según el instrumento de pago utilizado.
  4. Las tasas de fraude varían significativamente entre países del Espacio Económico Europeo.
  5. Los nuevos tipos de fraude se basan en:
    • La manipulación del proveedor de servicios de pago con ingeniería social: en redes sociales, presentándose como persona de confianza ante partes relacionadas con la víctima.
    • El uso de ingeniería social junto con engaños técnicos: el defraudador obtiene las credenciales del usuario mediante phising (envío de correos electrónicos fraudulentos que piden datos personales o bancarios) o técnicas similares, y da órdenes de pago; a continuación, consigue que las operaciones se autoricen, por ejemplo, ganándose la confianza de un empleado del proveedor de servicios de pago.
    • El registro del dispositivo del defraudador como segundo factor de autenticación: para esto, el defraudador ha obtenido antes las credenciales del usuario mediante phishing o smishing (envío de SMS por un ciberdelincuente simulando ser una entidad legítima).

Medidas de mitigación

La EBA destaca la comprobación de la correspondencia entre el IBAN y el nombre del beneficiario, medida incorporada en el Reglamento (UE) 2024/886.2 Pero, en tanto que no todos los sujetos a esta norma estarán obligados a incorporar esa comprobación, es posible que se sigan produciendo numerosos fraudes hasta que sea obligatoria para todos.

Por esta razón, propone medidas adicionales para que el Parlamento Europeo y la Comisión Europea las consideren en futuras normas sobre pagos.

Requisitos de seguridad reforzados

  1. Sobre el acceso a la cuenta de pago y la ejecución de operaciones de pago:
    • que los factores de autenticación reforzada pertenezcan, al menos, a dos categorías distintas;
    • que los proveedores permitan a sus usuarios fijar límites diarios o para cada pago por encima o por debajo de los límites predeterminados.
  2. Sobre la supervisión de operaciones:
    • que sea anterior a la operación,
    • que se aplique a todos los canales de pago electrónicos, o
    • que todos los proveedores intercambien entre ellos información relativa a los fraudes.
  3. Sobre el uso del dispositivo del usuario como segundo factor de autenticación:
    • que el proveedor aplique un período de tiempo apropiado entre que el usuario pide registrar el dispositivo para dicho factor y su admisión efectiva como tal.
  4. Sobre la asistencia en aspectos de seguridad:
    • que se exija a los proveedores de servicios de pago esa asistencia.

Gestión del riesgo del fraude

La EBA propone también que se obligue a los proveedores de servicios de pago a definir una gestión del riesgo del fraude que incluya:

  1. una declaración del riesgo de fraude, en la que detallen los objetivos de contención del fraude;
  2. una supervisión periódica por los proveedores de sus propios niveles de fraude; y
  3. una actualización periódica de las medidas de seguridad implantadas.

Reglas de responsabilidad

La autoridad europea sugiere que se clarifiquen las reglas de responsabilidad en lo que se refiere a:

  1. la delimitación entre operación autorizada y no autorizada en caso de controversias sobre fraude entre el proveedor de servicios de pago y el usuario;
  2. el concepto de negligencia grave;
  3. la responsabilidad por fraude de los proveedores de servicios de pago cuando no hayan prestado al cliente la mencionada asistencia sobre seguridad y cuando el defraudador haya accedido a la información personal del usuario tras una violación de datos del proveedor.

Fortalecer la supervisión de la gestión del fraude

Para conseguir este objetivo, la EBA propone:

  1. supervisar periódicamente los datos de fraude recopilados por los principales proveedores de servicios de pago;
  2. detectar los posibles valores atípicos para tomar las medidas pertinentes, y
  3. revisar periódicamente el uso correcto de las operaciones iniciadas por comercios y por órdenes telefónicas o por correo electrónico.

Plataforma única para compartir información

Por último, la autoridad bancaria propone:

  1. disponer de una plataforma única en la Unión Europea para compartir información entre los proveedores de servicios de pago:
    • que sea mantenida y gestionada por los propios proveedores, y
    • que exija que el tratamiento de datos únicos identificadores, como el IBAN y otros, contemple los requisitos de protección de datos personales;
  2. mantener una lista de puntos de contacto de todos los proveedores para una mejor colaboración entre ellos.
1 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.
2 Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, por el que se modifican los Reglamentos (UE) 260/2012 y (UE) 2021/1230 y las Directivas 98/26/CE y (UE) 2015/2366 en lo que respecta a las transferencias inmediatas en euros.
Iniciativas relacionadas
Documentos vinculados
Ámbitos
Más información